Des chercheurs en sécurité ont signalé un ensemble de données d’environ 17,5 millions d’enregistrements d’utilisateurs Instagram circulant sur des forums clandestins, tandis qu’Instagram a nié une violation de la plateforme mais a reconnu un bug permettant à des tiers de déclencher des e-mails de réinitialisation de mot de passe. Des entreprises avertissent que les données de contact exposées ont entraîné des tentatives de phishing et de prise de contrôle de comptes.

Pendant la semaine du 11 au 17 janvier, des surveillants en cybersécurité ont détecté un vaste jeu de données — environ 17,5 millions d'enregistrements d'utilisateurs Instagram — circulant sur des forums souterrains et des canaux de notification. Instagram a déclaré qu'il n'y avait pas eu de brèche de la plateforme mais a confirmé un bug de sécurité pouvant permettre à des acteurs externes de déclencher des e‑mails de réinitialisation de mot de passe ou, autrement, de récolter des coordonnées liées aux comptes, créant une voie pour des attaques d'ingénierie sociale ciblées. Des fournisseurs de sécurité ont rapporté un abus rapide : les attaquants ont utilisé les e‑mails et numéros de téléphone exposés pour élaborer des campagnes de phishing convaincantes, initier des réinitialisations de mot de passe, intercepter des codes via des techniques de SIM‑swap ou de boîte vocale, et poursuivre des prises de contrôle de comptes. La diffusion du jeu de données a permis à la fois des campagnes de masse et des intrusions prioritaires contre des cibles à haute valeur, incitant des chercheurs à émettre des avis de protection des comptes. Les observateurs ont préconisé une authentification multifacteur plus robuste que le SMS, la surveillance des activités de réinitialisation de mot de passe non autorisées, et la signalisation rapide des réinitialisations suspectes. L'incident renforce l'idée que les métadonnées de contact collectées — même en l'absence de fuites complètes d'identifiants — peuvent être utilisées comme armes pour le phishing, la collecte d'identifiants et les attaques de SIM‑swap, qui peuvent dégénérer en fraudes plus larges et en compromissions de comptes sur des plateformes sociales et financières.